检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
从而蒙受巨大的经济损失。 信息泄露:攻击者可以通过漏洞获取用户的通讯录、聊天记录等敏感信息,侵犯个人隐私。 网络破坏:当黑客成功攻击一台服务器后,可能会将其变成“傀儡机”,用于对其他主机发起攻击,扩大攻击范围。 恶意软件传播:攻击者可能利用漏洞在受害者的系统中植入恶意软件,如病毒、木马等,进一步破坏系统安全。
“安全看板”:快速查看攻击防御功能的防护信息,及时调整IPS防护。 流量分析 为您展示以下流量统计情况。 入云流量:互联网访问云主机的流量统计。 出云流量:云主机主动访问互联网的流量统计。 VPC间访问:VPC间的出入流量统计。 日志审计 支持入侵攻击事件日志、访问控制日志、流量日志。其中:
freezeFirewallInstance 更新攻击日志下发配置信息 alarm_config updateAlarmConfig 更新用户的域名服务器配置情况 dns_server updateDnsServer 创建东西向墙 cfw createEastWestFirewall 东西向墙开启防护
通过配置CFW防护规则实现两个VPC间流量防护 应用场景 VPC之间存在着大量的数据交换需求,CFW提供的VPC间流量防护能够检测和统计VPC间的通信流量数据,帮助您发现异常流量。 本文介绍如何配置云防火墙实现VPC1(172.16.0.0/16)和VPC2(172.18.0.0/16)之间的流量防护。
计费项 计费说明 云防火墙的计费项由服务版本和扩展包(扩展防护公网IP数、扩展防护流量峰值、扩展VPC数)组成。具体内容如表1所示。 如您需要快速了解CFW服务的具体价格,请参见CFW价格详情。 表1 云防火墙计费项 计费项 计费项说明 适用的计费模式 计费公式 服务版本 不同的版本提供不同的功能。
VPC边界防火墙概述 VPC边界防火墙支持VPC之间通信流量的访问控制,实现内部业务互访活动的可视化与安全防护。 支持的防护对象 虚拟私有云(VPC) 虚拟网关(VGW) VPN网关(VPN) 企业连接网(ECN) 全球接入网关(DGW) 约束条件 仅“专业版”支持VPC边界防火墙。
CFW自定义策略 如果系统预置的CFW权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参见CFW权限及授权项。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
最多关联5条服务组。 防护域名时不支持添加中文域名格式。 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全,建议有访问自身业务相关域名场景时配置自定义域名服务器。 仅入方向规则(“方向”配置为“外-内”)的“源”地址支持配置“预定义地址组”。 开
审计与日志 日志审计是保证云防火墙可靠性、可用性和性能的重要组成部分。用户可以汇总华为云服务的操作日志并进行分析、审计、资源监控和问题定位。 CFW已对接云审计服务(Cloud Trace Service, CTS)。华为云云审计服务提供对各种云资源操作记录的收集、存储和查询功能
配置企业路由器并将流量引至云防火墙 本文指导您通过企业路由器将流量引至云防火墙,并验证网络的连通性。 前提条件 已创建VPC边界防火墙,具体操作请参见创建VPC边界防火墙。 流量互通,确定流量未经过防火墙时正常通信。流量验证请参见验证网络互通情况。 配置原理和流程 配置企业路由器时的流量走势如图
停止计费 包年/包月资源 对于包年/包月计费模式的资源,例如包年/包月的云防火墙,用户在购买时会一次性付费,服务将在到期后自动停止使用。 如果在计费周期内不再使用包年/包月资源,您可以执行退订操作,系统将根据资源是否属于五天无理由退订、是否使用代金券和折扣券等条件返还一定金额到您
约束与限制 本文介绍云防火墙CFW服务在使用过程中的约束和限制。 CFW使用限制 仅支持对部署在华为云的业务提供防护,不支持跨云使用。 支持弹性公网IP EIP的流量防护,不支持全域公网带宽GEIP、API网关APIG绑定的EIP的流量防护。 购买的云防火墙只能在当前选择的区域使
成本管理 随着上云企业越来越多,企业对用云成本问题也越发重视。使用云防火墙CFW时,如何进行成本管理,减轻业务负担呢?本文将从成本构成、成本分配、成本分析和成本优化四个维度介绍成本管理,帮助您通过成本管理节约成本,在保障业务快速发展的同时获得最大成本收益。 成本构成 使用云防火墙
使用CFW跨账号防护VPC资源 应用场景 多个账号的资源防护,例如,企业中不同部门使用不同的账号,但多部门之间需要共用云防火墙的防护策略。 本文介绍使用CFW防护A账号的VPC后,如何将其它账号的VPC资源加入防护。 方案介绍 A账号已配置VPC边界防护并运行一段时间,此时需要将
将VPC1和VPC-NAT接入企业路由器中 本节指导您如何将VPC1和VPC-NAT接入企业路由器。 将VPC1和VPC-NAT接入企业路由器中 添加VPC连接。 操作步骤请参见企业路由器中添加VPC连接。 连接需要添加两条,“连接资源”分别选择VPC1和VPC-NAT。 创建两个路由表。
使用前必读 云防火墙(Cloud Firewall,CFW)是新一代的云原生防火墙,提供云上互联网边界和VPC边界的防护,包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等,同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张
查看监控指标 您可以通过管理控制台,查看CFW的相关指标,及时了解云防火墙防护状况,并通过指标设置防护策略。 前提条件 CFW已对接云监控,即已在云监控页面设置监控告警规则。有关设置监控告警规则的详细操作,请参见设置监控告警规则。 查看监控指标 登录管理控制台。 单击管理控制台左上角的,选择区域。
创建用户组并授权使用CFW 如果您需要对您所拥有的CFW进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),通过IAM,您可以: 根据企业的业务组织架构,在您的华为账号中,给企业中不同职能部门的员工创建IAM
新增防护VPC 当您配置完成VPC边界防火墙,需要添加防护VPC时,可执行本节操作。 步骤一:添加VPC连接 操作步骤请参见企业路由器中添加VPC连接。 如需防护其它账号(如账号B)下的VPC,请将当前账号A的企业路由器共享至账号B,共享步骤请参见创建共享,共享成功后在账号B中添加连接,后续配置仍在账号A中进行。
下载抓包结果 限制说明 “状态”为“异常”的任务,抓包结果存在两种情况: 抓包数据完全缺失,无法下载。 抓包数据部分缺失,已有数据支持下载。 下载抓包结果 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。